ویروس باجگیر « سِیج Sage یا مدل پیشرفته کری لاکر CryLocker »

ویروس نویسان حرفه ایی هنوز در بازار باجگیرها فعال هستند و باجگیری را معدن طلا می دانند. آنها فکر می کنند بازار ویروس های باجگیر هنوز جا دارد و منبع درآمد خوبی است. برای آنها ساده ترین کار  دستکاری یک ویروس موجود و بهبود آن است. از این رو ویروس باجگیر سِیج Sage را بر اساس ویروس قدیمی تر CryLocker که نحوه عمل و رمز قبلی آن کشف شده است، تولید کردند. بهر حال سِیج Sage مشتق شده از CryLocker  محسوب می شود و بازهم در رده « بد افزارها malware » و خانواده « باجگیرها ransomware » قرار می‌گیرد. متاسفانه هیچ رمزگشایی برای آن ساخته نشده است و در حال حاضر به جز پرداخت باج راه دیگری وجود ندارد. مبلغ باج درخواستی ۲.۲۲۱۸۸ بیت کوین (معادل ۲۰۰۰ دلار یا ۸ میلیون تومان) می باشد.

خودم شخصاً عملکرد این ویروس را بررسی کردم که تقریباً شبیه سایر باجگیرها است و در این راه کامپیوتر خودم هم آلوده شد که البته از قبل تمام اطلاعات خودم را روی DVD پشتیبان گیری کرده بودم. به تازگی نسخه ۲ ویروس باجگیر سِیج در حال پراکنده شدن است که باید زنگ خطر آن را برای شما به صدا درآورم.

نحوه نفوذ
این ویروس از طریق پیوست ایمیل (فایل ضمیمه ایمیل) هرزنامه‌ها، ایمیل‌های تبلیغاتی و ایمیل‌های ناشناس وارد کامپیوتر قربانی میشود. معمولاً این ایمیل بدون عنوان است و بدون متن است ولی فایل ضمیمه آن که بصورت zip شده است یک فایل ورد word است (گاهی اوقات فقط یک فایل جاوا اسکریپت js) که ماکروی موجود در آن نسخه کامل ویروس را دانلود و اجرا می کند.
فایل ضمیمه zip شده و محتوای آن شبیه موارد زیر می باشد:


فایل ورد word موجود در ضمیمه zip به نظر معمولی می آید:

ولی حاوی ماکرویی است که ویروس اصلی را دانلود و اجرا می کند:

نحوه خرابکاری
این ویروس ها با استفاده از رمزنگاری AES تمام فایلهای کامپیوتر قربانی را رمز و غیرقابل استفاده می‌کنند. اطلاعات رمز شده فقط با داشتن کلید انحصاری قابل بازگشت می باشند. کلید اختصاصی در سرور سازنده ذخیره می‌گردد و بعد از پرداخت باج به همراه یک برنامه به قربانی داده می‌شود.
پسوند sage به نام فایلها اضافه می شود:

متن باجگیری
متن باجگیری بصورت زیر می باشد:

راه حل : هنوز برای رمزگشایی راهی کشف نشده است.
متاسفانه در حال حاضر هیچ راهی جز پرداخت مبلغ باج برای بازگرداندن اطلاعات فایل‌های دستکاری و رمز شده به حالت اولیه وجود ندارد.
درصورت پیدا شدن راه معتبر و امتحان شده، حتما در همین جا آنرا به اطلاع شما خواهم رساند.

نتیجه گیری
بطور کلی بهترین روش در امان بودن از ویروس‌ها، پیشگیری از آنها است، بنابراین لازم است حتماً به یک آنتی‌ویروس اورجینال با دیتابیس بروز مجهز باشید و حتماً از جدیدترین نسخه آن استفاده نمایید. از بازکردن ایمیل‌های تبلیغاتی یا ایمیل‌های با آدرس ناآشنا بپرهیزید. درضمن باید خطرهای ناشی از فعال بودن ماکروها را در مجموعه برنامه‌های آفیس، نظیر ورد و  اکسل خوب بشناسید، چرا که تنها با باز کردن یک فایل excel ممکن است علاوه بر از بین رفتن تمام اطلاعات خود، اطلاعات دیگر کامپیوترهای متصل به شبکه را نیز از بین ببرید. متأسفانه در حال حاضر به غیر از داشتن نسخه پشتیبان از اطلاعات، هیچ راهی برای بازگرداندن اطلاعات وجود ندارد. بعنوان کارشناس ارشد علوم کامپیوتر به شما توصیه می‌کنم حتماً از اطلاعات خود روی DVD پشتیبان بگیرید تا درصورت آلوده شدن به ویروس لاکی اولاً بتوانید فایل‌های خود را بازیابی نمایید و دوماً تیم مرجع آنتی ویروس ایران امکان مقایسه حداقل یک فایل سالم و فایل آلوده معادل آنرا داشته باشد تا بر اساس مقایسه آنها امکان شکستن رمز AES داشته باشد.

از شما تقاضا دارم به تمامی اعضای خانواده، دوستان و آشنایان خود در مورد این ویروس اطلاع رسانی مناسب بفرمایید.

علی عارفی

انتشار این مطلب با ذکر نام «مرجع آنتی ویروس ایران» و آدرس« antivirus.ir » به عنوان منبع بلامانع می باشد.